Forside  » Om persondata  » Til brugere

Til brugere

Behandling af personoplysninger om brugere af indberetning.da.dk

Indberetning af statistikdata til DA, og en stor del af dialogen mellem virksomheder og DA om dette samt datakvaliteteten, foregår via Min Side på indberetning.da.dk. For at få adgang til Min side og de funktioner, der ligger på den, skal man være oprettet som bruger og tildelt en rolle, som giver forskellige rettigheder på siden.

Rollerne betegnes som administrator, superbruger, læseadgang og indberetteradgang og er beskrevet nærmere i vejledningen ”Sådan opretter du en bruger” under menupunktet ”Hjælp”.

Brugeroplysningerne er personlige og derfor at betragte som personoplysninger i datalovgivningens forstand.

Formål

Formålet med at behandle brugeroplysninger i relation til indberetning.da.dk er at sikre, at kun betroede medarbejdere med tilknytning til virksomhederne har mulighed for at anvende de funktioner på siden, som de er betroede til. Denne personlige adgang er en betingelse for at kunne opfylde forpligtigelsen til løbende at indberette statistikdata, samt for dialog om kvaliteten af disse data. Endelig sikres viden om, hvem der har haft adgang til data i tilfælde af et brud på datasikkerheden.

I dataforordningens forstand er hjemlen, at behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i (artikel 6, stk. 1b), og som konkret indgås mellem DA og hver enkelt bruger af siden. Brugerne agerer i denne sammenhæng som medarbejdere på virksomheden, og ikke som privatpersoner.

Typer af personoplysninger

Brugeroplysninger omfatter navne og almindelige kontaktoplysninger, som knytter sig til at varetage en konkret stilling i en virksomhed, roller/rettigheder i systemet, tidspunkter for besøg og handlinger på siden, korrespondancer mellem brugerne og DA samt brugernes IP-adresser.

Behandling af personoplysninger

Behandlingen af brugeroplysningerne sker på flere måder.

Virksomhedens administrator udpeges og valideres via en medarbejder med virksomheds-NemID gennem systemet esignatur.

Virksomhedens administrator opretter herefter virksomhedens øvrige brugere på indberetning.da.dk og tildeler disse relevante roller/rettigheder. Brugeroplysningerne gemmes i brugerdatabasen DAIM (DA’s Identity Management).

Når en bruger logger på siden, valideres vedkommende i forhold til oplysningerne i brugerdatabasen. Alle brugerens handlinger på siden logges og relateres til brugeren.

Brugeroplysninger behandles endvidere ved skriftlig og telefonisk kontakt med brugerne omkring indberetninger og kvaliteten heraf.

Videregivelse af personoplysninger

Brugeroplysningerne overlades til esignatur, som validerer medarbejderens virksomheds-NemID, og hvor medarbejderen dermed godkender, at den angivne medarbejder bliver administrator for virksomheden på indberetning.da.dk.

Brugeroplysningerne videregives til virksomhedens brugere af siden, således at de kan se hvem af deres kollegaer, som har adgang, og hvilke roller de har.

Brugeroplysningerne videregives til DA’s medlemsorganisationer på web-siden www.NetStat.dk, hvor de kan se kontaktoplysninger til virksomhedernes administratorer, men kun for egne medlemsvirksomheder.

Brugeroplysningerne videregives til eksterne parter i forbindelse med DA’s løbende backup af systemer.

Slettepolitik

Signerede aftaler fra firmaet esignatur opbevares så længe DA producerer statistik, så DA til enhver tid kan dokumentere, hvem der har godkendt virksomhedens administrator. Aftaler som ikke aktiveres slettes af esignatur efter en måned. Aktiverede aftaler slettes automatisk efter tre måneder hos esignatur.

Oplysninger om login og handlinger på siden slettes ikke, da disse oplysninger er nødvendige for at inddæmme evt. brud på datasikkerheden og forhindre yderligere brud.

Oplysninger om aktive brugere slettes på brugerens foranledning ved at brugeren selv, en anden bruger på virksomheden med tilstrækkelige rettigheder eller DA på baggrund af henvendelse fra brugeren sletter brugerens profil.

Korrespondancer med brugerne gemmes i fem år. Perioden på fem år er fastsat ud fra hensyn til DA’s behov for at kunne dokumentere DA’s henvendelser og brugernes svar på virksomhedernes vegne om indberetninger og deres kvalitet.

Behandlingssikkerhed

Behandlingen af brugeroplysninger sker i overensstemmelse med DA’s IT-sikkerhedspolitik, som følger ISO-standard 27001/27002.

Behandling af brugeroplysninger sker på en sikker side, som kræver login. Brugerne kan udelukkende se brugere for de virksomheder, som de selv er tilknyttet.

Login til siden er personlig, og brugernavn og password sendes adskilt som hhv. e-mail og fysisk brev.

DA’s medarbejderes adgang til personoplysningerne er begrænset ved adgangsstyring med personlig adgang, og anvendelsen logges. Kun medarbejdere med opgaver i relation til statistikproduktionen har adgang til oplysningerne. Medarbejderne er forpligtet til at overholde retningslinjer for behandling af personoplysninger.

Der foretages årlig stikprøvebaseret kontrol med medarbejdernes opslag i personoplysninger, og overholdelse af retningslinjer for behandling af personoplysninger i øvrigt.

Data opbevares fysisk på servere placeret i aflåst serverum i DA med backup på to fysiske placeringer i DK.

Data videregives via sikre medier som krypterede ftp-linjer og sikre websider.

Håndtering af brud på datasikkerhed

Bliver DA opmærksom på brud på datasikkerheden, sørger DA for hurtigst muligt at identificere kilden til bruddet, således at yderligere brud kan forebygges ved at iværksætte tiltag, der forhindrer lignende hændelser fremadrettet.

Derudover anmelder DA bruddet til Datatilsynet senest 72 timer efter, at DA er blevet opmærksom på bruddet, med beskrivelser af bruddets karakter og omfang, konsekvenser og foranstaltninger for at håndtere og inddæmme bruddets skadevirkninger, jf. dataforordningens artikel 33.

DA vurderer i hvert enkelt tilfælde, om bruddet er af en sådan karakter, at de registrerede skal underrettes herom, jf. dataforordningens artikel 34, herunder hvordan underretningen når de registrerede bedst muligt.

De registreredes rettigheder

Henvendelser i tilknytning til de registreredes rettigheder til at blive oplyst om behandlingen, til indsigt i oplysningerne, til berigtigelse og sletning mv. kan rettes til da@da.dk.

De registrerede opfordres til forud at gøre sig bekendt med denne beskrivelse af behandling af personoplysninger om brugere af indberetning.da.dk, i særlig grad afsnittet om slettepolitik.

Opdateret 25. maj 2018